Pressemitteilung: Entschließungen:
- Das Gewicht der Freiheit beim Kampf gegen den Terrorismus
- Verfassungsrechtliche Grundsätze bei Antiterrordatei-Gesetz beachten
- Verbindliche Regelungen für den Einsatz von RFID-Technologien
- Keine Schülerstatistik ohne Datenschutz
- Information der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zum 1. Europäischen Datenschutztag
Schwerpunkte der Tagung, welche unter dem Vorsitz Sachsen-Anhalts am 26. und 27. Oktober in Naumburg an der Saale stattfand, betrafen Themen aus den Bereichen Innere Sicherheit, Schulstatistik und Technikentwicklung. Der Datenhunger von Staat und Wirtschaft, verstärkt durch die rasante technische Entwicklung, wächst ständig. Die Wächteraufgabe der unabhängigen Datenschützer ist deshalb um so wichtiger. Notwendige Unterstützung erfährt der Datenschutz als Teil der rechtsstaatlichen Ordnung häufig durch die Gerichte, insbesondere durch das Bundesverfassungsgericht.
Die Konferenz erörterte intensiv die aktuellen Gesetzentwürfe der Sicherheitspolitiker, durch welche erneut verschärfte Eingriffsmöglichkeiten in die Grundrechte der Bürgerinnen und Bürger geschaffen werden sollen. Diesen wird ein erheblicher Sicherheitszuwachs u.a. dadurch versprochen, dass Sicherheitsbehörden erlaubt wird, persönliche Daten bereits weit im Vorfeld eines weder tatsächlich noch zeitlich bestimmbaren Gefahrenereignisses zu verarbeiten und zu nutzen. Die Bestrebungen, so auch auf Daten unbescholtener Personen zuzugreifen, haben weiteren Fortgang gefunden.
Zu den neuen verfassungsrechtlichen Problemfällen zählt das z.Zt. im Bundestag beratene Terrorismusbekämpfungsergänzungsgesetz, welches u.a. den Geheimdiensten weitergehende Befugnisse einräumt. Eine Evaluation der bisherigen tiefgreifenden Instrumente unter unabhängiger wissenschaftlicher Verantwortung war zuvor nicht durchgeführt worden. Die Datenschutzbeauftragten konstatieren in einer hierzu gefassten Entschließung einen deutlichen Trend zum Präventionsstaat mit gravierenden Freiheitseinschränkungen. Daher müssen die tatsächlichen Möglichkeiten parlamentarischer Kontrollorgane dem Zuwachs an Macht bei den Sicherheitsbehörden korrespondieren.
Auch zu dem in gleichem Sachzusammenhang stehenden Entwurf eines Antiterrordatei-Gesetzes sah sich die Konferenz zu einer Entschließung veranlasst. Nach dem Gesetzentwurf sollen Nachrichtendienste und Sicherheitsbehörden in einer Art und Weise Zugriff auf Informationen der jeweils anderen Dienste erhalten, welche das verfassungsrechtliche Trennungsgebot zu beeinträchtigen geeignet ist.
Unter der Überschrift, dass verfassungsrechtlich nicht alles erlaubt ist, was technisch und praktisch umsetzbar erscheint, erörterte die Konferenz erneut die Themen Vorratsdatenspeicherung der Telefon- und Internetkommunikation sowie die Nutzung von Maut-Daten zur Strafverfolgung. Anlässlich der auch zur Sprache gekommenen europäischen Bezüge (z.B. Vorratsdatenspeicherung, Fluggastdaten) machten die Teilnehmenden unter anderem deutlich, dass es nicht akzeptabel ist, wenn Vorhaben, welche in Deutschland nicht durchsetzbar scheinen, von interessierten Stellen über die EU als europäischer Rechtsetzungsauftrag wieder eingebracht werden.
Die Konferenz hat Äußerungen der belgischen wie auch der schweizerischen Datenschutzinstanz zustimmend zur Kenntnis genommen, die nach Prüfung festgestellt haben, dass Datenübermittlungen von der SWIFT -Organisation an Empfängerbehörden in den USA in vielen Fällen unzulässig waren und sind. Die Datenschutzberatergruppe der EU-Kommission (Art. 29-Gruppe), deren Vorsitz der Bundesbeauftragte Schaar innehat, wird nach Prüfung des rechtstatsächlich schwierigen Beziehungsgeflechts zwischen SWIFT und den beteiligten Banken eine Stellungnahme abgeben. Auch diese unterliegen der datenschutzrechtlichen Verantwortlichkeit.
Besondere Aktualität erfährt derzeit die beabsichtigte Umstellung der Schulstatistik auf Individualdaten mit bundeseinheitlichem Kerndatensatz, insbesondere zu Zwecken der Bildungsplanung. Der föderalistischen Kompetenzverteilung entsprechend beraten die Landesbeauftragten für den Datenschutz die jeweilige oberste Kultusbehörde. Der Landesbeauftragte für den Datenschutz in Sachsen-Anhalt ist als Vorsitzender der Konferenz zum 05. Dezember 2006 von der Ständigen Konferenz der Kultusminister eingeladen, deren Kommission für Statistik zu den datenschutzrechtlichen Rahmenbedingungen des Vorhabens zu beraten. Zur Verdeutlichung der aktuellen datenschutzrechtlichen Bedenken hat die Konferenz eine Entschließung gefasst. Die Sinnhaftigkeit und Verhältnismäßigkeit des Vorhabens steht in Frage.
Die Konferenz hat zudem über aktuelle Rechtsetzungsvorhaben (EU, Bund, Länder), eGovernment-Vorhaben, die Informationsfreiheitsgesetzgebung sowie die Übermittlung von Fluggastdaten in die USA beraten.
Die Konferenz erörterte im Zuge der ständigen Begleitung des Projektes „Elektronische Gesundheitskarte“ den aktuellen Sachstand zu den Testverfahren im Zusammenhang mit der Karteneinführung. Trotz vielfältiger Detailprobleme, insbesondere im technischen Bereich, hat sie zustimmend zur Kenntnis genommen, dass Maßnahmen zur Wahrung differenzierter Steuerungsrechte der Patienten zu ihren medizinischen Daten frühzeitig in die Verfahren einbezogen werden.
Auch das Arbeitslosengeld II war wegen weiterer Gesetzesänderungen erneut Thema. Schwierigkeiten bereitet nach wie vor die Umsetzung der Datenschutzkontrolle. Obwohl die Datenschutzbeauftragten des Bundes und der Länder durch Konferenzentschließungen und Beratungen intensiv auf die Probleme unscharfer Kontrollzuständigkeiten hingewiesen haben, hat die zum 01. August 2006 wirksam gewordene Änderung des SGB II noch nicht zur ausreichenden Klarheit geführt. Die Datenschutzbeauftragten stellen dennoch in Abstimmung mit dem Bundesministerium für Arbeit und Soziales und der Bundesagentur für Arbeit eine effiziente datenschutzrechtliche Kontrolle der Leistungsträger und insbesondere der Arbeitsgemeinschaften sicher.
Gleichfalls bedarf die künftige Entwicklung der gesetzlichen Regelungen zum Arbeitslosengeld II der Begleitung der Datenschutzbeauftragten. Datenerhebungen müssen erforderlich, nicht aber durch publikumswirksame Schlagworte wie z.B. „Missbrauch“ oder den Generalverdacht gegen Antragsteller motiviert sein.
Die Datenschutzbeauftragten haben sich über aktuelle Entwicklungen in der Informations- und Kommunikationstechnik unterrichten lassen. Der Trend, Alltagsgegenstände mit digitalen Etiketten (sog. RFID-Tags) auszustatten, weist auffällig nach oben. Da diese Etiketten tatsächlich kleine Rechner sind, entstehen durch die damit möglichen Funktionalitäten nicht kontrollierbare Risiken für Verbraucherinnen und Verbraucher. Die denkbaren Gefährdungen nehmen auch im staatlichen Bereich zu, wie die Einführung von mit RFID ausgerüsteten Ausweisen belegt. Im Rahmen der technischen Datenschutzthemen haben die Datenschutzbeauftragten daher hierzu eine Entschließung gefasst.
Der vom Europarat ausgerufene Europäische Datenschutztag wird künftig in der Woche um den 28. Januar terminiert werden, erstmals am Montag, dem 29. Januar 2007. Das Datum erinnert an die Eröffnung der Unterzeichnung des Übereinkommens zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten vom 28. Januar 1981, das insbesondere das Recht auf einen Persönlichkeitsbereich bei der automatisierten Verarbeitung schützen will. Hierzu hat sich die Konferenz auf Arten und Formen der Unterstützung und Beteiligung verständigt. Auf die beigefügte allgemeine Information wird verwiesen.
Seit dem 11. September 2001 wandelt sich der Staat immer mehr zu einem Präventionsstaat, der sich nicht darauf beschränkt, Straftaten zu verfolgen und konkrete Gefahren abzuwehren. Der Staat verlagert seine Aktivitäten zunehmend in das Vorfeld der Gefahrenabwehr. Sicherheitsbehörden gehen der abstrakten Möglichkeit von noch nicht einmal geplanten Taten nach. Immer mehr Daten werden auf Vorrat gesammelt und damit eine Vielzahl unverdächtiger Menschen erfasst. Auch unbescholtene Bürgerinnen und Bürger werden als Risikofaktoren behandelt, ohne dass diese dafür Anlass gegeben haben. Dieses neue Verständnis von innerer Sicherheit führt zu gravierenden Einschränkungen der Freiheitsrechte. Beispiele sind die von der Europäischen Union beschlossene Speicherung der Telekommunikationsverkehrsdaten oder die im Jahr 2002 verfassungswidrig durchgeführten Rasterfahndungen.
In diesem Zusammenhang ist auch der ”Entwurf eines Gesetzes zur Ergänzung des Terrorismusbekämpfungsgesetzes” kritisch zu bewerten. Die ursprünglich zur Terrorismusbekämpfung geschaffenen Befugnisse werden immer weiter ausgedehnt und nicht mehr nur auf Terrorverdächtige beschränkt.
Bei allen Gesetzen und Maßnahmen zur Terrorbekämpfung stellt sich die Frage nach deren Eignung und Verhältnismäßigkeit. Mehr Überwachung führt nicht automatisch zu mehr Sicherheit, aber stets zu weniger Freiheit. Es gibt keine absolute Sicherheit.
Die verfassungsrechtlich notwendige wissenschaftliche Evaluation der bisherigen Vorschriften zur Terrorismusbekämpfung durch eine unabhängige Stelle fehlt bislang. Der ”Bericht der Bundesregierung zu den Auswirkungen des Terrorismusbekämpfungsgesetzes” ist keine vollwertige Evaluation der bisherigen Vorschriften. Damit steht sowohl die Notwendigkeit einer Verlängerung als auch die Erforderlichkeit der Schaffung neuer Befugnisse in Zweifel.
Zunehmende Befugnisse verlangen nach zusätzlichen Kontrollen. Daher ist es unerlässlich, einen angemessenen Ausgleich zwischen den Befugnissen der Sicherheitsbehörden und den Kompetenzen der Kontrollorgane zu schaffen. Insbesondere müssen die Handlungsmöglichkeiten der parlamentarischen Kontrollorgane entsprechend ausgestaltet sein.
Mit dem Entwurf eines Gesetzes zur Errichtung gemeinsamer Dateien von Polizeibehörden und Nachrichtendiensten des Bundes und der Länder (Gemeinsame-Dateien-Gesetz-BT-Drs. 16/2950) – verschärft durch Forderungen aus dem Bundesrat - sollen in der Bundesrepublik Deutschland erstmals die rechtlichen Grundlagen für die Errichtung gemeinsamer Dateien von Polizeibehörden und Nachrichtendiensten geschaffen werden. Von besonderer Bedeutung ist die beim Bundeskriminalamt zur Aufklärung und Bekämpfung des internationalen Terrorismus einzurichtende Antiterrordatei, in welcher umfangreiches Datenmaterial der beteiligten Sicherheitsbehörden zusammengeführt werden soll.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder verkennt nicht die zur Begründung des Gesetzentwurfs geltend gemachte hohe Bedrohung durch den internationalen Terrorismus und die Notwendigkeit zur Optimierung des Informationsaustauschs. Jede Intensivierung der informationellen Zusammenarbeit zwischen Polizeibehörden und Nachrichtendiensten muss jedoch den verfassungsrechtlichen Vorgaben, insbesondere dem Recht auf informationelle Selbstbestimmung, dem Grundsatz der Verhältnismäßigkeit und dem - in einigen Landesverfassungen ausdrücklich genannten - Trennungsgebot zwischen Polizei und Nachrichtendiensten entsprechen. Der vorliegende Entwurf zur Antiterrordatei enthält schwerwiegende verfassungs- und datenschutzrechtliche Risiken.
Insbesondere den folgenden brisanten Aspekten wird im Rahmen der anstehenden parlamentarischen Beratungen besondere Beachtung zu schenken sein:
Der Einsatz von RFID-Tags (Radio Frequency Identification) hält unaufhaltsam Einzug in den Alltag. Schon jetzt werden sowohl im öffentlichen als auch im privatwirtschaftlichen Bereich viele Gegenstände mit diesen miniaturisierten IT-Systemen gekennzeichnet. Es ist zu erwarten, dass neben bereits jetzt mit RFID-Technik gekennzeichneten Lebensmitteln künftig auch Personalausweise, Geldscheine, Kleidungsstücke und Medikamentenpackungen mit RFID-Tags versehen werden. In wenigen Jahren könnten somit praktisch alle Gegenstände des täglichen Lebens weltweit eindeutig gekennzeichnet sein.
Die flächendeckende Einführung derart gekennzeichneter Gegenstände birgt erhebliche Risiken für das Recht auf informationelle Selbstbestimmung in sich. Die RFID-Kennungen verschiedenster Gegenstände können sowohl miteinander als auch mit weiteren personenbezogenen Daten der Nutzenden – in der Regel ohne deren Wissen und Wollen - zusammengeführt werden. Auf diese Weise werden detaillierte Verhaltens-, Nutzungs- und Bewegungsprofile von Betroffenen ermöglicht.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder erwartet von allen Stellen, in deren Verantwortungsbereich RFID-Tags verwendet werden, insbesondere von Herstellern und Anwendern im Handels- und Dienstleistungssektor, alle Möglichkeiten der datenschutzgerechten Gestaltung dieser Technologie zu entwickeln und zu nutzen, und vor allem die Prinzipien der Datensparsamkeit, Zweckbindung, Vertraulichkeit und Transparenz zu gewährleisten. Der schnellen Umsetzung dieser Forderungen kann auch eine verbindliche Selbstverpflichtung von Herstellern und Anwendern der RFID-Technologie im Handels- und Dienstleistungssektor dienen.
Das Bundesverfassungsgericht hat den Gesetzgeber mehrfach darauf hingewiesen, dass wegen des schnellen und für den Grundrechtsschutz riskanten informationstechnischen Wandels die technischen Entwicklungen aufmerksam zu beobachten sind und notfalls durch ergänzende Rechtsetzung korrigierend einzugreifen ist. Daher sind die besonderen Gegebenheiten, die mit dem Einsatz der RFID-Technologie verbunden sind, vom Gesetzgeber daraufhin zu untersuchen, ob für alle Risiken adäquate und rechtliche Schutzmechanismen vorhanden sind. In den Bereichen, in denen diese fehlen, hat der Gesetzgeber einzugreifen. Dies gilt insbesondere für den Fall, dass die Hersteller und Anwender sich auf eine verbindliche Selbstverpflichtung nicht einlassen.
Für den Schutz der Persönlichkeitsrechte Betroffener sind generell folgende Forderungen zu berücksichtigen:
Seit einigen Jahren arbeitet die Kultusministerkonferenz an der Einführung eines bundesweit einheitlichen Schulstatistiksystems, in dem weit über das bisherige Maß hinaus Daten aus dem Schulbereich personenbezogen verarbeitet werden sollen. Es soll auf Landesebene in einer Datei für jede Schülerin und jeden Schüler sowie für jede Lehrerin und jeden Lehrer für das gesamte "Schulleben" ein umfangreicher Datensatz angelegt werden. Hierzu erhält jede Person eine Identifikationsnummer, was auf ein pseudonymisiertes Register hinausläuft. Die Länderdateien sollen überdies zu einer bundesweiten Datenbank zusammengefasst werden. Die spätere Ergänzung des Schülerdatensatzes mit so genannten sozialökonomischen Daten über das Elternhaus sowie eine Einbeziehung der Kindergarten- und Hochschulzeit ist beabsichtigt. Eine präzise und einheitliche Zweckbestimmung lässt sich den bisherigen Äußerungen der Kultusministerkonferenz nicht entnehmen.
In datenschutzrechtlicher Hinsicht sind folgende Vorgaben zu beachten:
Wie das Bundesverfassungsgericht festgestellt hat, ist eine Totalerhebung nur zulässig, wenn der gleiche Erfolg nicht mit weniger einschneidenden Maßnahmen erreicht werden kann. Im Hinblick auf die bereits gewonnenen Ergebnisse aus stichprobenartigen und weitgehend auf Freiwilligkeit beruhenden wissenschaftlichen Untersuchungen (wie PISA, IGLU oder TIMSS) erscheint die Notwendigkeit der geplanten Einrichtung eines bundesweiten zentralen schüler- bzw. lehrerbezogenen "Bildungsregisters" nicht dargetan. Ein solches Register wäre ein nicht erforderlicher und damit unverhältnismäßiger Eingriff in das informationelle Selbstbestimmungsrecht.
Deshalb fordern die Datenschutzbeauftragten von der Kultusministerkonferenz bei diesem Vorhaben nachdrücklich den Verzicht auf eine ID-Nummer. Jede Möglichkeit einer Reidentifizierung von Individualdatensätzen ist durch geeignete Verfahren auszuschließen (kein schüler- oder lehrerbeziehbares Bildungsregister!).
Im übrigen sind folgende verfassungsrechtliche Vorgaben und Grenzen unabdingbar:
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder begrüßt, dass Schulministerien in mehreren Ländern das bisherige, datenschutzrechtlich bedenkliche Konzept nicht mehr weiter verfolgen, und strebt dies auch als Gesamtergebnis der mit der Kultusministerkonferenz zu führenden Gespräche und des angekündigten Workshops an.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder begrüßt die Initiative des Europarats für einen Europäischen Datenschutztag. Sie will mit verschiedenen Aktionen am 29. Januar 2007, dem ersten Europäischen Datenschutztag, die Menschen in Deutschland für ihre eigenen Datenschutzrechte sensibilisieren.
Der Europarat will über den Europäischen Datenschutztag das Bewusstsein für den Datenschutz bei den Bürgerinnen und Bürgern in Europa erhöhen. Alle mit dem Datenschutz befassten Stellen in Europa sind aufgerufen, sich durch eigene Aktionen an diesem Tag zu beteiligen. Der Tag wird zukünftig jährlich regelmäßig in der Woche um den 28. Januar terminiert werden, weil an diesem Datum die Unterzeichnung der Europaratskonvention 108 zum Datenschutz begonnen wurde. Mit der Konvention verpflichten sich die unterzeichnenden Staaten, für die Achtung der Rechte und Grundfreiheiten insbesondere des Persönlichkeitsbereichs bei der automatisierten Datenverarbeitung Sorge zu tragen.
Die Initiative für einen Datenschutztag wird begrüßt und unterstützt, weil sie einen Anlass gibt, in einer Zeit, in der Datenverarbeitung allgegenwärtig ist, die im Interesse des Schutzes von Privatsphäre notwendigen Grenzen darzustellen und zu verstehen. Die Konferenz möchte alle, die sich mit dem Thema Datenschutz befassen, ausdrücklich zu eigenen Aktionen und Informationen zum Datenschutz an diesem Tag ermuntern. Beispielhaft können Sprechstunden, Vorträge, Tag der offenen Tür, Preisausschreiben, Informationskampagnen zu einzelnen Themen, Aktionen mit speziellen Gruppen (z.B. Jugendliche, Reisende, Patienten/innen) etc. als Möglichkeiten für die Gestaltung des Tages genannt werden.
Soweit die Medien den Datenschutztag aufgreifen wollen, bieten die Mitglieder der Konferenz ihre Kooperation an und werden ihre fachlichen Kenntnisse zum Datenschutz gerne zur Verfügung stellen.